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BESCHRE IBUNG 

HARDWARENAHE KONF I GURAT I ON UND VERRIEGELUNG VON GERATEN 

1. HINTERGRUND PER ERFINDUNG 
1.1 GEBIET PER ERFINDUNG 

Pie vorliegende Erfindung betrifft Verfahren und Vorrichtung 
zum Festlegen grundlegender Verf iigungsmoglichkeiten iiber den 
Betrieb von elektronisch angesteuerten Geraten, insbesondere 
betrifft sie Verfahren und Vorrichtung zum Konf igurieren und 
Verriegeln von Geraten mithilfe einer personenbeziehbaren 
Authentisierungseinrichtung, insbesondere mithilfe von 
SmartCards . 

1.2. NACHTEILE PES STANPES PER TECHNIK 

Per Begriff 'Gerat* wird im Zusammenhang mit den hier 
vorgestellten, erf inderischen Konzepten sehr breit und 
allgemein verstanden. Es handelt sich urn eine Vielzahl von 
Geraten, vom kleinen Handy oder anderen kleinen, 
computergesteuerten Gebrauchsgeraten mit einer gewissen, 
vergleichsweise geringen Rechenleistung iiber eigentliche 
Computer bis zu groBeren 'Geraten' wie Kraf tf ahrzeuge bis 
hin zu Steuerterminals fur industrielle Prozesse, die einer 
Authentisierungsiiberprufung vor einer Betriebsauf nahme 
bediirfen konnten. Als Voraussetzung muB allerdings jedes 
dieser Gerate iiber eine elektronische Steuerung verfiigen, 
die den Betrieb des Gerats ermoglicht, was heute allerdings 
fast iiberall anzutreffen ist. 

Pie individuelle Konf iguration von Geraten ist eine wichtige 
Aufgabe bei kundenorientierten Fertigungsprozessen . Pabei 
werden im Stand der Technik drei grundsatzliche 
Konf igurationsmechanismen angewandt . 
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Zum einen konnen die Gerate bereits werksseitig fur 
individuelle Kunden eingestellt werden. Die benotigte 
Software wird bei der Herstellung in das Gerat geladen. Dies 
setzt allerdings prazise geplante Produktionsprozesse mit 
aufwendigen Produktionsplanungssystemen voraus, die oft 
nicht gegeben sind und erhoht die Lief erzeiten . 

Zweitens kann die Konf iguration der Gerate dem Kunden 
delegiert werden. Er kann beispielsweise mit einer 
Installationsdiskette sein Gerat individuell einstellen. 
Der Mehraufwand fur den Kunden kann dabei allerdings zu 
erheblichen Wettbewerbsnachteilen fuhren, da er in die 
Programmierlogik der Gerate nicht eingearbeitet ist. 
AuBerdem wirft die Vorgehensweise Sicherheitsf ragen auf , 
insbesondere, wenn es sich bei den zu konf igurierenden 
Funktionen urn aus betrieblicher Sicht kritische Funktionen 
handelt oder wenn dabei vom Hersteller des Gerates interne 
Inf ormationen uber das Produkt bekanntgegeben werden miissen. 
Die Weitergabe dieser Konf igurationsinf ormationen kann nicht 
kontrol 1 iert werden . 

Zum Dritten nutzen viele Anbieter Online-Verbindungen , wie 
beispielsweise das Internet oder das Telefon fur die 
individuelle Konf iguration von Geraten oder Anlagen, 
bestehend aus vielen solchen Geraten. Dies ist 

beispielsweise fur Telef onanlagen relevant: Moderne Telefone 
sind heute meist mit der maximal moglichen Funktionalitat 
ausgestattet, haben aber nur die Leistungsmerkmale 
aktiviert, die vom Kunden bestellt und bezahlt wurden. Das 
Gerat kann damit in grofien Stiickzahlen identisch produziert 
werden und muss erst vor Ort beim Kunden konfiguriert und 
personalisiert werden . 

Ein nachtragliches Erneuern der Software bei den 

Telef onanlagen uber solche Online-Verbindungen ist derzeit 

sicherlich die flexibelste Moglichkeit, setzt aber voraus, 
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dass genaue Inf ormationen liber den Kunden und seine 
betriebliche Konf iguration vorliegen, was oft nicht gegeben 
ist . 

Auch Aspekte wie Datenschutz der Konf igurationsdaten bei 
einem Weiterverkauf der Anlage, etc., mussen hierbei jedoch 
in Betracht gezogen werden. Diese Sicherheitsaspekte konnen 
nur beschrankt beriicksichtigt werden, etwa durch ein 
Passwort beim Anmelden am Konf igurationsserver des 
Herstellers oder Serviceproviders und einem Abmelden am Ende 
der Online- Verbindung . 

Die oben genannte, erste Moglichkeit ist fur den Hersteller 
extrem aufwendig und kostenintensiv , insbesondere bei 
preiswerten Geraten der Unterhaltungselektronik . 

Bei den zwei zuletzt genannten Varianten ist nur schwer 
sicherzustellen, dass Nutzer des Gerats nicht 
unberechtigterweise bestimmte Konf igurat ionen nutzen oder 
weiterleiten, fur die sie nicht berechtigt sind. 

Technisch oft eng verzahnt mit der Moglichkeit, Gerate zu 
konf igurieren, ist die Moglichkeit, diese Gerate so zu 
•konf igurieren* , daB sie verriegelt und keiner normalen 
Benutzung mehr zuganglich sind. 

Eine Moglichkeit im Stand der Technik, die Hardware solcher 
Gerate zu verriegeln und so die Gerate vor Missbrauch oder 
Diebstahl zu schiitzen, ist von Mobiltelef onen und PCs her 
bekannt . 

Die dort angewandten Verfahren, bestehen aber lediglich aus 
der Eingabe eines Passworts . Daraus resultieren Risiken des 
Missbrauchs, wenn das Passwort bekannt wird. Auflerdem kann 
beispielsweise ein 4-stelliger Code, welcher heute beim 
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Mobiltelefon verwendet wird, computergestiitzt schnell 
' geknackt 1 werden . 

Weiter ist der Bedienerkomf ort gering, denn das Passwort 
kann leicht vergessen werden. 

Komplexere Schlieflf unktionen, die nicht so leicht zu 
entschlusseln sind, und die kryptographische Schliissel und 
verschiedene Rollen wie Anwender, Servicetechniker oder 
Systemadministrator definieren, sind bei den existierenden 
Verfahren nicht moglich. 

Sobald Gerate des Standes der Technik komplexere, auf 
Smartcards basierende Sicherheitsmerkmale aufweisen, sind 
diese Anwendungen im Stand der Technik als Software 
implementiert . So bietet beispielsweise bei PCs das 
Betriebssystem Windows 2000 einem mit dem PC assoziierten 
Smartcardbesitzer die Moglichkeit, individuelle 
Zugrif f srechte fur verschiedene Dateien zu definieren und 
individuelle Konf igurationen einzustellen . Dieses Verfahren 
setzt allerdings auf dem Betriebssystem auf und kann durch 
Loschen des Betriebssystems auf der Festplatte inaktiviert 
werden. Ein potentieller Dieb kann nach erneutem 
Installieren des Betriebssystems bzw. nach Austausch der 
Festplatte das System uneingeschrankt nutzen. Lediglich die 
Daten des Anwenders konnen mit dem bestehenden Verfahren 
weitgehend geschutzt werden. 

1.3. AUFGABEN DER ERFINDIJNH 

Daher besteht die Aufgabe der vorliegenden Erfindung darin, 
eine zuverlassigere Moglichkeit zu schaffen, derartige 
Gerate vor unbefugter Benutzung zu schiitzen, so dass sie fur 
einen Dieb oder eine einen Geratemiflbrauch beabsichtigenden 
Person nicht mehr attraktiv sind. 
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Eine weitere Aufgabe besteht darin, derartige Gerate 
komf ortabel und sicher konf igurierbar zu machen, d.h., sie 
einer individuellen Nutzung durch den Kunden zuganglich zu 
machen. 

2. ZUSAMMENFASSUNG UND VORTEILE PER ERFINDUNG 

Die genannten Aufgaben werden durch die in den unabhangigen 
Anspriichen genannten Merkmale gelost. Vorteilhafte 
Weiterbildungen des Erf indungsgegenstandes ergeben sich aus 
den jeweiligen Unteranspriichen . 

Die hier vorgestellte, erf inderische Losung basiert im 
wesentlichen auf drei Komponenten, um grundlegende 
Verf ugungsmoglichkeiten, wie insbesondere die temporare 
Stilllegung, die Inbetriebnahme oder Wieder- Inbetriebnahme 
sowie die Konf iguration von Geraten festzulegen, namlich: 
einer Erweiterung der Geratehardware um Funktionen, die 
grundlegende Verf iigungsmoglichkeiten iiber den Betrieb von 
Geraten, namlich insbesondere die individuelle Konf iguration 
und die Stilllegung der Gerate erlauben, 

einer hardwarenahen Schnittstelle zu einem Lesegerat, wie 
etwa einem Smartcard-Reader, der den Zugriff auf diese 
Funktionen durch die Smartcard erlaubt, und 
der Authentif izierungseinrichtung selbst, wie etwa eine 
Smartcard , die in der Lage ist, iiber die definierte 
Schnittstelle auf die Konf igurations-/ und/ oder 
Stilllegungs- bzw. (Wieder-) Inbetriebnahmef unktionen der 
Hardware des Gerates unmittelbar zuzugreifen. 

Die Legitimation zur Konf iguration /Stilllegung und 
(Wieder ) -inbetriebnahme des Gerats erfolgt vorzugsweise iiber 
den Abgleich von Schlusseln, die auf der Smartcard bzw. 
vorzugsweise in einem ROM des Gerats gespeichert sind. 
Alternativ dazu oder in Kombination damit konnte dies aber 
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auch iiber andere, z.B., biometrische 

Authentifizierungsverfahren geschehen. Beispielsweise konnte 
ein Finderabdruck auf der Smart Card abgespeichert werden, 
der dann beim Reaktivieren des Gerates verglichen wird. 

Die erstgenannte Hardware-Erweiterung ist geratespezif isch . 
Bei PCs etwa kann beispielsweise der Prozessor um derartige 
Funktionen erweitert oder das BIOS erganzt werden. Bei 
Geraten der Unterhaltungselektronik Oder Telefonen, konnten 
die Funktionen im ROM, bzw. in der Firmware definiert 
werden. Im Gerat mussen kryptographische Schliissel 
hinterlegt werden, die bei Konf iguration, Stilllegung bzw. 
Wiederinbetriebnahme von der Smartcard zur Authentif izierung 
der berechtigten Person genutzt werden. 

Die Schnittstelle zwischen Gerat und Smartcard beinhaltet 
einen gewohnlichen Smartcard-Leser, der um eine hardwarenahe 
Steuerung erweitert wird, da die zur Ansteuerung ublichen 
Softwaretreiber bei dieser hardwarenahen Losung 
erf indungsgemafl wegf alien. Hier ist eine Realisierung als 
ROM, BIOS oder Firmware als individuelle , 'in Hardware 
gegossene' Software grundsatzlich denkbar. Alternativ konnte 
statt der Smartcard und dem Smartcard Leser auch jeder 
andere sogenannte Secure Token, mit entsprechender 
Verbindung zum Gerat verwendet werden, wie etwa 
beispielsweise der eToken von Aladdin oder ein JavaRing von 
Dallas Semiconductor. 

Die dritte der oben genannten Komponenten - die 
Authentisierungseinrichtung - ist als Smartcard ausgebildet 
sicherlich die flexibelste der drei Komponenten. Sie kann 
gegebenenfalls in vorteilhaf ter Weise von einer Person zu 
einer anderen ubertragen werden, sofern dies gewiinscht ist, 
und ist offen fur abgestufte Hierarchien von Zugrif f srechten 
auf das Gerat, etwa durch Herstellen einer MasterSmartCard, 
die zum Zwecke der Konf iguration einer Vielzahl von Geraten 
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an Servicepersonal des Abnehmers der Gerate ausgegeben 
werden kann. So kann beispielweise bei Nutzung einer Smart 
Card sehr flexibel und sehr individuell die Logik 
programmiert werden, nach der das betrachtete Gerate 
konfiguriert, stillgelegt oder wieder in Betrieb genommen 
werden soli oder darf. Auf der Karte lassen sich namlich 
sehr vielfaltige Inf ormationen speichern, wie etwa 
komplette, kundenindividuelle Firmware-Updates, 
geratespezif ische Bef ehlssequenzen, die bestimmte Funktionen 
am Gerat ausfiihren, wie etwa den Prozessor zu inaktivieren, 
kryptographische Schlussel als Gegenstiick zu den Schliisseln 
im Gerat, mit denen eine individuelle Authentif izierung 
durchgefiihrt werden kann, wie etwa public key/ private key- 
Verfahren, kryptographische Algorithmen und individuelle 
Entscheidungslogik, und ggf . entsprechende Schlussel, die 
den Kunden authorisieren , urn zusatzliche Konf igurationsdaten 
oder Sof twarekomponenten von einem Server des Herstellers zu 
laden, sowie die benotigten Daten urn die Verbindung 
aufzubauen (z.B. Telef onnummer oder IP-Adresse) . 

Bei Anwendung des erfindungsgemaBen Verfahrens kann ein 
Geratehersteller unter der Mafigabe, dafl eine einzige 
SmartCard beliebige Gerate konf igurieren konnen soil, daft 
jedoch zum Zwecke der Stilllegung und/ oder der (Wieder-) 
Inbetriebnahme nur eine MasterSmartCard oder eine 
personenbezogene SmartCard verwendet werden kann, 
folgendermaiien vorgehen : 

Ein Gerat wird in grofien Stiickzahlen identisch produziert. 
Jedes Gerat enthalt kryptographische Schlussel, die im ROM 
eingebrannt sind und fur die Abwicklung von 

Authentisierungsprotokollen geeignet sind. Diese identischen 
Gerate ('white devices 1 ) konnen nun gelagert werden. Bei der 
Bestellung eines Kunden werden nun diese 'white devices' aus 
dem Lager entnommen und fur jedes Gerat wird entsprechend 
den Bestellvorgaben des Kunden eine Smartcard mit den 
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Konf igurationsdaten erstellt. Diese Smartcard wird separat 
vom Gerat zum Kunden gesandt und ist praktisch der zu den 
Schliisseln im Gerat passende kundenindividuelle 
Gegenschliissel . Jedes Gerat kann damit mit der passenden 
Smartcard und/oder einer Master-Smartcard des Herstellers in 
Betrieb genommen und stillgelegt werden, kann jedoch mit der 
MasterSmartCard des Herstellers konfiguriert werden. Dies 
kann durch kryptographische Algorithmen seitens der 
Smartcard, wie beispielsweise asymmetrischer Authentisierung 
mit public und private Key RSA Algorithmen und hardwarenahen 
Funktionen seitens des Gerates sichergestellt werden, 

Sind die notwendigen Konf igurationsdaten zu umfangreich um 
vollstandig auf einer Smartcard gespeichert zu werden, wie 
es z.B. bei einem PC denkbar ist, kann der Kunde das Gerat 
an ein mit dem Hersteller verbundenes Netzwerk oder auch an 
eine Telef onleitung anschlieflen und sich mit Hilfe der 
Smartcard fur den Zugriff auf einen Konf igurationsserver des 
Herstellers authorisieren. Dazu ist eine Basissof tware zum 
Netzwerkanschluss und zum Download von Software vorzusehen. 

Die von Kunden bestellten Leistungsmerkmale des Gerats 
werden nun iiber die Smartcard aktiviert, und das Gerat ladt 
bei Bedarf fehlende oder neuere Sof twarekomponenten iiber den 
NetzwerkanschluB oder die Telef onleitung . 

Der Benutzer kann nun in vorteilhaf ter Weise zum Zwecke der 
Verriegelung des Gerats jederzeit das Gerat stilllegen, 
indem er die Smartcard zur Inaktivierung der Hardware nutzt. 
Somit ist das Gerat ideal vor Diebstahl oder Miflbrauch durch 
Dritte geschiitzt, wenn der Benutzer nicht anwesend ist. Ein 
Vergessen des Paflworts ist nicht moglich, da keines 
verwendet wird. 

Fur eine sichere Verriegelung miissen auf jedem einzelnen 
Gerat zusatzlich im Sinne einer Seriennummer individuelle, 
eindeutige Schliissel, wie beispielsweise symmetrische 
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Authentisierung mit DES Algorithmen fest gespeichert werden, 
beispielsweise im ROM. Eine bestimmte, normale SrnartCard 
kann nur das eine, ihr zugeordnete Gerat aktivieren bzw. 
stilllegen . 

Weiter ergibt sich fur den Hersteller eines Gerates der 
Vorteil, daB er durch kryptographische Schliissel 
sicherstellen kann, daB der Kunde nur diejenige 
Konf iguration nutzen kann, fur die er berechtigt ist. Ein 
MiBbrauch von Konf igurationsdaten durch deren Weitergabe ist 
praktisch ausgeschlossen, da die Daten aufgrund der 
Verflechtung mit dem Sicherheitsschliissel nicht zu einer 
anderen Anlage passen. 

Damit ergeben sich wesentlich erhohte Sicherheitsmerkmale 
bei Geratekonf iguration und Geratestilllegung gegeniiber 
herkommlicher Authorisierung/ Authentif izierung durch einen 
PIN . 

Desweiteren lassen sich auf der Smartcard individuelle 
Kundeneinstellungen speichern, die der Anwender sehr 
individuell und off-line zum Konf igurieren seines Gerates 
nutzen kann, 

Der Kunde kann sein Gerate inaktivieren, z.B. bei langerer 
Nutzungspause wahrend eines Urlaubs, und durch diese 
"elektronische Wegf ahrsperre" sein Gerat fur Diebe 
unattraktiv machen. Das Gerat ist so lange unbrauchbar, bis 
die Sperre mit derselben Karte oder einer Back-up-Karte vom 
Hersteller wieder aufgehoben wird. 

Wesentlich an dem erf indungsgemaflen Verfahren ist, dafi es 
direkt auf Hardware, bzw. BIOS-Ebene aufsetzt, und somit 
keine dazwischenliegenden Sof twareschichten evtl . 
Sicherheitslucken entstehen konnen. Da die komplexe 
Entscheidungslogik, betreffend die Fragen, welche 
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Konf iguration und welche Zugrif f srechte anzuwenden sind, auf 
der Smartcard gespeichert werden, ist es moglich, diese 
gerateseitigen Vorbereitungen mit verhaltnismaBig geringem 
Aufwand zu realisieren . 

Das Verfahren ist aufgrund seiner Hardwarenahe in 
vorteilhaf ter Weise unabhangig davon, welche Software, 
Treiber und Betriebssysteme letztendlich auf dem Gerat 
installiert sind. 

Der Hersteller erreicht schliefllich durch dieses Verfahren 
einen vorteilhaf ten Investitionsschutz, da er keine 
Konf igurationsinf ormationen preisgegeben muB und sicher sein 
kann, daB das Gerat nur in dem mit dem Kunden vereinbarten 
und auf der SmartCard dokumentierten Umfang genutzt werden 
kann . 

Bei der Produktion der Gerate muB nicht mehr auf die 
spezielle Konf iguration , die der Kunde wiinscht, geachtet 
werden. Alle Gerate konnen identisch produziert werden, 
womit sich der Produktionsprozess vereinfacht und 
verbilligt. AuBerdem lassen sich dadurch Lieferzeiten 
verkiirzen, da nun die Gerate auf Lager produziert werden 
konnen, und bei Auslieferung mit einer bestimmten 
Konf iguration nur noch die Smartcard personalisiert werden 
muB. Wird ein Gerat dann an einen Kunden ausgelief ert , so 
wird eine Smartcard mit den Konf igurationswiinschen und den 
vom Kunden verlangten Leistungsmerkmalen erstellt und dem 
Gerat beigelegt. 

Gerate mit NetzwerkanschluJi konnen sich bei der ersten 
Aktivierung die neuste Software zur Vervollstandigung der 
Betr iebsprogramme laden . 

Der Kunde erzielt durch das erf indungsgemaBe Verfahren einen 
Diebstahlschutz : Denn es macht keinen Sinn, ein Gerat auf 
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dem Transport oder wahrend des Betriebs zu stehlen, da 
dieses ohne die Smartcard wertlos ist. 

Letztlich wird die Handhabung des Konf igurationsprozesses 
deutlich vereinfacht. 

Anwendungen dieses Verfahrens sind im folgenden nur 
beispielsweise genannt : 

Diebstahlschutz fiir Personal Computer: Mit Hilfe der 
Smartcard kann ein Rechner bei Abwesenheit hardwareseitig 
verriegelt werden. Er ist dann so lange unbrauchbar, bis mit 
derselben Karte oder einer Backup-Karte vom Hersteller die 
Sperre wieder aufgehoben wird. Optimalen Schutz bietet das 
Verfahren durch Implementierung des rechnerseitigen Teils 
des Verfahrens direkt im Prozessor. 

Vorteile ergeben sich auch bei der Wartung des PCs: Wird 
beim PC ein konventionelles Hardware-Password gesetzt, mufl 
dieses Kennwort Servicetechnikern bekannt gemacht werden. 
Wird kein Password verwendet, ist dagegen das System nicht 
ausreichend geschiitzt. 

Wird das Hardware-Password wie erf indungsgemaB vorgeschlagen 
durch Smartcards ersetzt, ist es moglich, verschiedenen 
Arten von Personenkreisen jeweils einen spezifischen Zugang 
zu gewahren: Dem Besitzer vollen Umfang und dem Techniker 
des Herstellers beispielsweise Zugang, ohne Plattenzugrif f e 
zu erlauben. 

Das Verfahren ist damit wesentlich leistungsf ahiger , 
anwendungsfreundlicher, flexibler und sicherer als die 
Anwendung des herkommlichen Hardware-Pas sworts . 

Weiteres bevorzugtes Anwendungsgebiet ist das 
Konf igurationsmanagement fiir Telefone. 
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Telefone und andere elektronische Gerate, die in grofter 
Stiickzahl fur verschiedene Markte gebaut werden, mussen fiir 
die einzelnen Kauf ergruppen oder Kunden konf iguriert werden, 
z.B. hinsichtlich der Einstellung von Landessprache, 
anzuwendendem Verschliisselungsverf ahren, spezif ischen 
landerspezif ischen Protokollen, Funktionsumfang, wie oben 
erwahnt . 

Der hardwarenahe Einsatz der Smartcard eroffnet hier neue 
flexible Moglichkeiten der Konf iguration , ahnlich wie oben 
beschrieben, die sich insbesondere fiir Privatkunden mit 
geringer Anzahl von Geraten anbietet, da dann alle 
Konf igurationsdaten direkt auf der SmartCard gespeichert 
sein konnen. 

Auch Leasing oder Miete von Geraten konnen erf indungsgemafl 
verbessert werden, wenn die Nutzungserlaubnis durch 
Smartcards geregelt werden kann und nur mit einer giiltigen 
Smartcard die Nutzung des Gerates erlaubt wird. 

Gerate mit Netzwerkanschlufl konnen nur mit der zum 
Netzzugriff notigen Basissof tware ausgeliefert werden. Bei 
der Konf iguration ladt das Gerat dann die aktuellen 
Sof twaremodule von einem zentralen Server. 

Die erwahnten Gerate oder deren Konf igurationen konnen noch 
zusatzlich dadurch geschutzt werden, dafl auf der SmartCard 
ein oder mehrere personliche Kennworter fiir einen, bzw. 
mehrere, vorbestimmte Benutzter gespeichert sind. 

Somit kann ein Miflbrauch des Gerats auch nach Verlust der 
SmartCard vorerst verhindert werden, da ein unberechtigter 
Finder der SmartCard das oder die Paflworter nicht kennt. 
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3 . Z E I CHNUNGEN 

Fig. 1 zeigt ein schematisches Blockdiagramm eines Cerates 
in Form eines Notebooks, das nach dem Verfahren bzw. 
Vorrichtung der vorliegenden Erfindung gegen unbefugte 
Benutzung verriegelt werden kann, 

Fig. 2 zeigt den SteuerfluB bei einer komfortablen und 
sicheren Konf iguration einer Gerategruppe , namlich einer 
Telefonanlage, die in einem Unternehmen installiert ist. 

4. GENAUE BESCHRE I BUNG DER AUSFUHRUNGSBE ISP I ELE 

In Fig. 1 ist als Teil der Hauptplatine 10 eines Notebooks 
12, die als wesentliches , durch das erf inderische Konzept zu 
schiitzendes Aggregat des Notebooks in Relation zu 
Peripheriegeraten betrachtet wird, das BIOS ROM 14 
abgebildet. Erf indungsgemaB ist im BIOS oder alternativ 
beispielsweise im Prozessor selbst ein langerer Schlussel 
gespeichert, der zur Authentif izierung des rechtmaftigen 
Benutzers verwendet wird. Das Gegenstiick zu dem Schlussel 
ist auf einer SmartCard 16 gespeichert, die iiber einen 
zwischen BIOS und SmartCard geschalteten SmartCard Reader 18 
ansprechbar ist. Die Smartcard wirkt mit einem im BIOS des 
Gerates erf indungsgemaB vorgesehenen 

Benutzerauthentif izierungsprogramm iiber ein vereinbartes 
Protokoll, z.B., ISO 7816-4 konforme APDUs fur SmartCards 
als gemeinsame Schnittstelle zusammen. Befehle und Daten 
konnen somit zwischen dem BIOS Programm und der SmartCard 
ausgetauscht werden und je nach Implementierungsweise 
Folgebefehle anstofien, die weitere Aktionen ermoglichen, die 
iiber die reine Token- oder ggf . Benutzeridentif izierung und 
Freigabe des Betriebs des Gerats oder Stilllegung des Gerats 
hinausgehen. Dieses hardwarenahe Authentif izierungsprogramm 
stellt daher eine Hardware-Erweiterung 20 in Form einer 
Hardwaresteuerung dar, die den Betrieb oder bestimmte 
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Betriebsarten von Geraten steuert. Dabei sind vorzugsweise 
fur die auf der Smart Card gespeicherte User-ID eine Auswahl 
an grundlegenden Verf iigungsmoglichkei ten gespeichert, die 
nach erfolgter Authentitatspriif ung freigegeben werden. 

Soli das Notebook 12 nun in Betrieb genommen werden, so 
startet beim Einschalten das im BIOS 14 gespeicherte 
Authentif izierungsprogramm und verlangt, dafl eine passende 
SmartCard 16 in den Reader 18 eingeschoben wird. Es wird nun 
erf indungsgemafl eine Verbindung 19 zwischen SMART Card und 
der Hardware-Erweiterung 20 unter Einbeziehung des BIOS ROMs 
14 aufgebaut. 

Diese Verbindung ist physikalisch als fest verdrahtet und 
logisch als 'sicher' im Sinne einer Umgehung, Falschung oder 
einer Auflerkraf tsetzung der Authentitatspriif ung anzusehen. 
In besonders bevorzugter Weise wird daher diese Verbindung 
als reine Hardware- Implementierung unter Vermeidung 
jeglicher, zwischenliegender Software, wie etwa einem 
Geratetreiber fur den SmartCard-Leser 18 aufgebaut. 

Dann wird die Eingabe einer Benutzerkennung und eines 
zugehorigen Paflworts vom Programm verlangt. Der rechtmaftige 
Benutzer kennt diese Daten und gibt sie iiber die Tastatur 
des Notebooks ein. Bei unkorrekter Eingabe der beiden 
Ausdrucke wird der Vorgang wiederholt und nach einer 
vorgegebenen Anzahl von Malen abgebrochen, z.B. nach 
dreimaliger Eingabe . 

Nach korrekter Eingabe priift das Programm im BIOS, ob der 
Schliissel im BIOS zu dem Schliissel auf der SmartCard paJit . 
Die Schliissel konnen nach gangigen, anerkannten Mechanismen 
gebildet und verglichen werden, z.B. nach dem public key / 
private key Verfahren. Passen die Schliissel, so erlaubt das 
BlOS-Programm dem Benutzer diejenigen grundlegenden 
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Funktionen, die fur ihn auf der Karte als ' erlaubt' 
gespeichert sind. 

In diesem Falle gibt das BIOS Programm durch Abgabe eines 
entsprechenden Signals an den Prozessor, der im weitesten 
Sinne als die eingangs genannte, elektronische 
Geratesteuerung angesehen werden kann, den Betrieb des 
Notebooks frei und bootet es. 

Passen die Schliissel nicht, wird der Rechner dem Resultat 
entsprechend nicht gestartet. Der Rechner kann dann nur 
durch Einfiihren der SmartCard mit dem richtigen Schliissel 
darauf gestartet werden. Andernfalls ist er unbrauchbar, da 
er nur durch Austausch der gesamten Mutterplatine 10 von dem 
Sicherheitsmechanismus abgekoppelt werden konnte . 

Dies stellt eine beachtlichen Fortschritt im Vergleich zum 
Stand der Technik dar, bei dem lediglich durch 
Neu-Installation des Betriebssystems oder Abklemmen und 
Wiedereinsetzen der Batterie des Rechners der Rechner 
unbefugt verwendet werden kann. Daher ist ein solchermafien 
geschiitzter Rechner weniger diebstahlgef ahrdet als solche 
vom Stand der Technik. 

Auch ein Palmtop Gerat 22 oder dergleichen konnte anstatt 
der SMART Card an entsprechende Anschlusse im Notebook 
angeschlossen werden, urn die gleichen Funktionen wie die der 
o.g. SMART Card und moglicherweise noch zusatzliche 
Funktionen je nach Einsatzzweck des Gerates 12 zu erfullen. 

Im Zusammenhang mit Fig. 2 wird nun ein besonders 
bevorzugtes Merkmal beschrieben, wie unter Einsatz der 
erf inderischen Konzepte auch von der SmartCard selbst 
verschiedene Aktionen initiiert werden konnen, die unter 
anderem zur komf ortablen Konf iguration von Geraten 
ausgenutzt werden konnen. 
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Eine Telef onanlage fur ein Unternehmen besteht aus 20 
Telefonen, die; hierarchisch in 3 Schichten eingruppiert sind 
und entsprechend unterschiedlichen Funktionsumfang besitzen. 
Die Telef onapparate selbst werden einheitlich produziert und 
erhalten ihre eigentlichen Leistungsmerkmale erst durch eine 
Konf igurationsprozedur, die verschiedene Logikbauteile in 
den Apparaten in Betrieb setzt Oder gesperrt lasst, je nach 
den individuellen Anf orderungen des Kunden . Der Hersteller 
der Telef onanlage liefert nun mit der Anlage eine SMARTCard, 
die als MasterSmartCard ausgebildet ist und diese 
Konf igurationsprozedur anstoflt, wenn sie in ein 
entsprechendes Schnittstellengerat eingeschoben wird, 
Schritt 110, einem SmartCard-Reader, dessen Ausgang mit der 
Telef onanlage verbunden ist. 

Dann wird, wie oben im Zusammenhang mit Fig. 1 beschrieben, 
die Eingabe einer Benutzerkennung des SuperUsers und eines 
zugehorigen Paflworts vom Programm verlangt. Dies ist ein 
optionaler Schritt, da der auf der Smartcard gespeicherte 
Personenidentif izierungsschliissel an sich auch schon 
ausreicht, urn die Identitat der Karte als MasterSmartCard zu 
erkennen. Der rechtmaftige Benutzer kennt die SuperUser-ID 
und das zugehorige Passwort und gibt sie iiber die Tastatur 
eines Telef ons der Telef onanlage ein, Schritt 120. Bei 
unkorrekter Eingabe der beiden Ausdriicke wird der Vorgang 
wiederholt und nach einer vorgebenen Anzahl von Malen 
abgebrochen, z.B. nach dreimaliger Eingabe, Schritt 130. 

Nach korrekter Eingabe priift ein Authentif izierungsprogramm 
in einem ROM auf dem Chip des Telef ons, ob der Schliissel im 
ROM zu dem Schliissel auf der SmartCard paflt, Schritt 140. 
Die Schliissel konnen wie oben nach gangigen, anerkannten 
Mechanismen gebildet und verglichen werden, z.B. nach dem 
public key / private key Verfahren. Passen die Schliissel, so 
gibt das Programm im ROM des Telefons die notwendigen 
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Funktionen frei, die notwendig sind, urn die Telef onanlage 
konf igurieren zu konnen. 

Auf der SmartCard sind nun alle notwendigen Daten 
gespeichert, die zur Initialisierung, Konf iguration und 
Personalisierung der einzelnen Telef onapparate in der Anlage 
notwendig sind. Diese werden daher von einem auf der Karte 
gespeicherten und ausfiihrbaren Programm in Speicherplatze 
der Telefonanlage geschrieben, die dort vorgesehen sind, 
Schritt 150. Weiter ist ein Programm auf der SmartCard 
vorhanden, das die Konf igurationsprozedur enthalt. Somit 
kann die gesamte Anlage mit den jeweils richtigen 
Leistungsmerkmalen konfiguriert werden. 

Falls die Schliissel nicht zueinander passen, wird die 
Prozedur abgebrochen und eine Konf iguration kann nicht 
stattfinden, siehe die Verzweigung zu Schritt 130. 

In besonders bevorzugter Weise und in Erweiterung des in 
Fig. 2 beschriebenen Aus f iihrungsbeispiels ist das 
erf inderische Verfahren zur Konf iguration von Geraten mit 
SMART Cards auch geeignet, Konf igurationen durchzuf iihren, 
die erheblich mehr Konf igurationsdaten benotigen, als auf 
eine SMART Card passen wiirden. Er f indungsgemaB wird dann 
vorgeschlagen, von der SmartCard einen Befehl abzusetzen, 
der eine Datenverbindung, wie z.B. eine TCP/IP Verbindung zu 
einem Datenpool herstellt, der diese Konf iguarationsdaten 
enthalt. Dies kann bei einer Telefonanlage zweckmaBigerweise 
eine Datenverbindung iiber die Telef onleitung selbst sein, in 
anderen Fallen je nach zu konf igurierendem Gerat kann eine 
e-mail oder TCP/IP Verbindung zweckmaflig sein. Der Datenpool 
ist in den meisten Fallen die Festplatte eines Rechners, der 
als Server f unktioniert . 

Weiter ist das erf inderische Konzept dazu geignet, Gerate 
zeitweise, beispielsweise fur die Abwesenheit wahrend des 
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Urlaubs stillzulegen und somit vor MiBbrauch zu schiitzen. So 
kann die SMART Card einen Befehl an das Gerat absetzen, 
dieses stillzulegen, also keine weiteren Befehle bis auf 
einen 1 wake-up' Befehl anzunehmen und zu verarbeiten. Dies 
nutzt in besonderer Weise die Fahigkeit aus, die SMART Cards 
bieten, in sehr variabler Form Objekte zu definieren und 
ihnen bestimmte Methoden als auszuf iihrende Befehle 
zuzueignen . 

Durch Anwendung des Verfahrens nach der vorliegenden 
Erfindung konnen Produktionsprozesse fur Gerate erheblich 
vereinfacht werden, Kosten fiir die Lagerhaltung gesenkt und 
die Logistik bei der Verteilung der Gerate in den Handel 
bzw. ari den Endkunden vereinfacht werden, da die Gerate 
einheitlich hergestellt, gelagert und verteilt werden 
konnen. Desweiteren werden die Anf orderungen an den aufleren 
Diebstahlschutz gesenkt, da die Gerate ohne zugehorige 
SmartCard weitgehend nutzlos sind, was einen erheblichen 
Fortschritt gegeniiber dem derzeitigen Schutz gegen Miflbrauch 
durch Eingabe eines Paftworts darstellt. 

Weitere Aktionen, die bei einem unbefugten Zugriff auf das 
Gerat autonom ohne Kenntnis des Benutzers und angestoflen 
durch ein entsprechendes Applet auf der SmartCard veranlasst 
werden konnen, sind beispielsweise die Absetzung einer 
e-mail an eine vorbestimmte Adresse oder das Absetzen eines 
bestimmten Warnsignals (ping) an eine zustandige Stelle im 
Unternehmen, sofern das Gerat entsprechend vernetzt ist. 

Weiter kann der Gegenstand der vorliegenden Erfindung in 
Hardware, Software oder einer Kombination aus beiden 
realisiert werden. Eine beliebige Art von Computersystem 
oder Computergeraten ist dafur geeignet, das 
erf indungsgemafle Verfahren ganz oder in Teilen 
durchzuf iihren . Eine realisierbare Hardware-Software 
Kombination ware ein normaler Computer mit einem 



- 19 - 



DE9-1999-0060 



Computerprogramm, das, wenn es geladen und ausgefiihrt wird, 
den Computer derart steuert, daB er das erf indungsgemaBe 
Verfahren ganz oder in Teilen ausfiihrt. 

Die vorliegende Erfindung kann auch in ein 

Computerprogrammerzeugnis eingebettet sein, das samtliche 
Merkmale enthalt, die eine Implementierung der hierin 
beschriebenen Verfahren ermoglichen, und die, wenn sie in 
ein Computersystem geladen wird, dazu imstande ist, diese 
Verfahren auszuf iihren . 

Computerprogrammeinrichtungen und Computer programme bedeuten 
im vorliegenden Kontext beliebige Ausdriicke in einer 
beliebigen Sprache Oder Notation oder einem beliebigen Code 
eines Satzes von Anweisungen, die ein System mit einer 
Inf ormationsverarbeitungsmoglichkeit dazu veranlassen 
sollen, von den folgenden Funktionen 

a) Umsetzung in eine andere Sprache oder Notation oder 
einen anderen Code, 

b) Reproduktion in eine unterschiedliche materielle 
Formeine bestimmte entweder direkt oder nacheinander 
oder beide durchzuf iihren . 

Es ist of f ensichtlich, daB die Aktionen, die durch die SMART 
Card ausgelost werden konnen, von Gerat zu Gerat sehr 
unterschiedlich sein konnen, und dem jeweiligen Zweck der 
Verriegelung im Sinne einer temporaren Stilllegung bzw. der 
Konf iguration der Gerate angepaflt sein miissen. 
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PATENTANSPRUCHE 

1. Verfahren zum Festlegen grundlegender 

Verf iigungsmoglichkeiten iiber den Betrieb von Geraten, 
deren Betrieb mit einer elektronischen Geratesteuerung 
steuerbar ist , gekennzeichnet dadurch, dafi es die 
Schritte enthalt: 

Aufbauen (110) einer Verbindung (19) zwischen einer, mit 
Verschliisselungsdaten versehenen, personenbeziehbaren 
Authentif izierungseinrichtung (16) und einer 
Logikeinrichtung (20), die die elektronische 
Geratesteuerung steuern kann, 

Priifen ( 120, 140) der Daten in der 

Authentif izierungseinrichtung (16) vor dem Betreiben des 
Gerats , 

Zuordnen von vorbestimmten, der 

Authentif izierungseinrichtung ( 16 ) zugehorigen 
Verf iigungsmoglichkeiten iiber das Gerat, 

Zulassen (150) der fur die Authentif izierungseinrichtung 
(16) vorbestimmten Verf iigungsmoglichkeiten abhangig vom 
Ausgang der Priifung. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dafl 
die Verf iigungsmoglichkeiten wenigstens eine der 
folgenden Moglichkeiten umfassen:den Betrieb des Gerats 
(12) zu unterbinden,den Betrieb des Gerats (12) 
freizugeben, Oder eine Konf iguration des Gerats (12) zu 
ermoglichen . 
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3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dafl die Verbindung (19) unter Vermeidung 
zwischenliegender Sof twareschichten gebildet 1st. 

4. Verfahren nach dem vorstehenden Anspruch, enthaltend den 
Schritt, wenigstens eines der folgenden Merkmale von der 
Authentif izierungseinrichtung (16) zu lesen: 
Firmware-Programme, geratespezif ische Bef ehlssequenzen 
fur die Ausfiihrung bestimmter, geratespezif ischer 
Funkt ionen , kryptographische Schliissel , kryptographische 
Algorithmen, individuelle Entscheidungslogik . 

5. Verfahren nach einem der vorstehenden Anspriiche 1 bis 4 
zum Konf igurieren von Geraten (12) durch berechtigte 
Personen, wobei nach einer er f olgreichen 

Authentif izierung geratespezif ische Konf igurationsdaten 
von der Authentif izierungseinrichtung (16) nach einem 
der beiden vorstehenden Anspriiche oder iiber ein Netzwerk 
in das Gerat (12) geladen werden. 

6. Gerat (12) zur Durchfuhrung des Verfahrens nach einem 
der vorstehenden Anspriiche. 

7. Authentisierungseinrichtung (16), eingerichtet fur eine 
Authentif izierung einer Person oder einer Personengruppe 
in dem Verfahren nach einem der Anspriiche 1 bis 4. 

8. Authentisierungseinrichtung (16) nach dem vorstehenden 
Anspruch, dadurch gekennzeichnet, dafl sie in Form einer 
SmartCard realisiert ist. 

9 . System zum Festlegen grundlegender 

Verf iigungsmoglichkeiten iiber den Betrieb von Geraten 
(12), deren Betrieb mit einer elektronischen 
Geratesteuerung steuerbar ist, enthaltend wenigstens ein 



- 22 - 



DE9-1999-00 



Gerat (12) nach Anspruch 6, unci eine 

Authentisierungseinrichtung (16) nach Anspruch 7 oder 8 

Computerprogramm, enthaltend Programmcodebereiche zur 
Durchfuhrung Oder Vorbereitung der Durchf iihrung der 
Schritte des Verfahrens gemaft einem der Anspriiche 1 bis 
4, wenn das Programm in einen Computer geladen wird. 
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ZUSAMMENFAS SUNG 

Verfahren und Vorrichtung zum Festlegen grundlegender 
Verfiigungsmoglichkeiten iiber den Betrieb von elektronisch 
angesteuerten Geraten (12) mithilfe einer gegebenenf alls 
iibertragbaren, personenbeziehbaren 

Authentisierungseinrichtung (16), basierend im wesentlichen 
auf drei Komponenten, die wahrend des erf inderischen 
Verfahrens ausgenutzt werden, namlich einer Erweiterung der 
Geratehardware um Funktionen, die die 
Verfugungsmoglichkeiten, namlich insbesondere die 
individuelle Konf iguration und die Stilllegung der Gerate 
erlauben, einer hardwarenahen Schnittstelle zu einem 
Lesegerat (18) fur die Authentif izierungseinrichtung (16), 
wie etwa einem Smartcard-Reader , der den Zugriff auf diese 
Funktionen durch eine Smartcard (16) erlaubt, und der 
Authentif izierungseinrichtung (16) selbst, die in der Lage 
ist, iiber die definierte Schnittstelle auf die 
Konf igurations-/ und / oder Stilllegungs- bzw. 
Inbetriebnahmef unktionen der Hardware des Gerates 
unmittelbar zuzugreif en . 

Die Legitimation zur Konf iguration /Stilllegung und 

( Wieder) -Inbetriebnahme des Gerats erfolgt iiber den Abgleich 

von Schliisseln, die auf der SmartCard (16) bzw. in der in 

einem ROM (14) des Gerats (12) gespeichert sind. 

(Fig. 1) 
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